Заявка на просмотр логов

[Pyatnitsev Danil 20]

Первое предупреждение!

Изменено 10 июня, 2008 пользователем Олег777
удалил вредоносные файлы

[akoK 113]

Отключите востановление системы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\vzho546.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\sysservice.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
SetServiceStart('sywtdxaz', 4);
DeleteService('sywtdxaz');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
SetServiceStart('qandr', 4);
DeleteService('qandr');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
QuarantineFile('C:\WINDOWS\system32\Beep.sys','');
SetServiceStart('Google Online Services', 4);
DeleteService('Google Online Services');
QuarantineFile('C:\Documents and Settings\Катя\ie_updates3r.exe','');
QuarantineFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll','');
QuarantineFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll');
DeleteFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll');
DeleteFile('C:\Documents and Settings\Катя\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sysservice.exe');
DeleteFile('C:\WINDOWS\system32\vzho546.exe');
DeleteFile('C:\System Volume Information\_restore{0BA9BC03-4269-4713-A1ED-A21A017DC9CE}\RP647\A0155007.exe');
BC_ImportALL;
ExecuteRepair(9);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи и приложите лог HJT

Изменено 10 июня, 2008 пользователем akoK

[Pyatnitsev Danil 20]

wise-wistful, 3. Отладчики процессов ставили какие-то? - Даже не знаю, что это...

Изменено 10 июня, 2008 пользователем Pyatnitsev Danil

[akoK 113]

Обновил немного скрипт.

[Pyatnitsev Danil 20]

QuarantineFile('C:\Documents and Settings\Катя\ie_updates3r.exe','');

это точно вирус. можно сразу удалять

[akoK 113]

DeleteFile('C:\Documents and Settings\Катя\ie_updates3r.exe');

Уже

[vidocq89 21]

Данил, неужели это ваш комп?

или вы от знакомой сейчас в инете сидите?..

[akoK 113]

Данил, неужели это ваш комп?

Оно так и есть мы теперь знаем настоящее имя....Катя

[Pyatnitsev Danil 20]

сейчас я со своего компьютера... Он чистый (я надеюсь), а это сегодняшние логи однокласницы... Я уже хотел Windows переустанавливать с форматам диска.

[vidocq89 21]

сейчас я со своего компьютера... Он чистый (я надеюсь), а это сегодняшние логи однокласницы... Я уже хотел Windows переустанавливать с форматам диска.

ну спс. успокоили. а то я то испугался что у вас такая жуть на компе твориться.

[Pyatnitsev Danil 20]

кстати, сегодня уже записал диск восстановления. Пришел... запустил... Недостаточно памяти для выполнения задачи...

[Pyatnitsev Danil 20]

Скрипт вроде помог.

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

sysinfo.rar

установил на компьютер касперского 2009. Защитил паролем.

 

проверил карантин каспером. почти все вирусы определяются сигнатурно. Не видит 2 файла:

C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll
C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll

вот их сейчас отправлю в вирлаб

[akoK 113]

C:\WINDOWS\system32\Beep.sys - опознал?

А обновить базы AVZ религия не позволила?

Пофиксить в HijackThis следующие строчки

 	
O24 - Desktop Component 0: (no name) - http://www.dom3mir.ru/i/bg_para.jpg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = ðð
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=ðð:1111111
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ññûëêè

Какие проблемы еще остались?

[Pyatnitsev Danil 20]

C:\WINDOWS\system32\Beep.sys - опознал?

Rootkit.win32.Agent.aol

А обновить базы AVZ религия не позволила?

1. Инета небыло (временно)

2. Забыл :blink:

Пофиксить в HijackThis следующие строчки

можно объяснить, что это даст? (просто завтра опять идти не хочу)

Какие проблемы еще остались?

проблем не наблюдаю.

ps Спасибо, сейчас это отразится в репутации

[akoK 113]

можно объяснить, что это даст?

Уборка мусора....не критично.